Vous êtes victime d'une attaque ?
L’année 2025 a été marquée par certaines des cyberattaques les plus perturbatrices et révélatrices de ces dernières années. Bien que les statistiques globales aient indiqué une baisse du coût moyen d’une cyberattaque par rapport aux années précédentes, un nombre limité d’incidents à fort impact impliquant des entreprises emblématiques telles que Marks & Spencer et Jaguar Land Rover a profondément modifié la perception globale. Ces événements ont fait grimper les moyennes et mis en lumière des faiblesses systémiques dans le commerce de détail, l’industrie manufacturière, l’aviation, les services publics et les chaînes d’approvisionnement mondiales.
Des campagnes de ransomware à grande échelle aux attaques ciblées exploitant des logiciels tiers de confiance, les incidents de 2025 ont confirmé une réalité préoccupante. Les organisations modernes restent fortement exposées via les plateformes cloud, les écosystèmes de fournisseurs, les technologies opérationnelles et les infrastructures numériques partagées. À l’approche de 2026, ces attaques influencent déjà les stratégies de cyber sécurité, les priorités réglementaires et les décisions d’investissement.
Vous trouverez ci-dessous certains des incidents cyber les plus marquants et les plus largement relayés de 2025, ainsi que les enseignements qu’ils apportent pour l’avenir.
Marks & Spencer et l’attaque ransomware contre le secteur du commerce de détail au Royaume-Uni
Date : avril 2025
Type d’attaque : ransomware et campagne sectorielle coordonnée
Acteur de la menace : Scattered Spider
L’un des incidents cyber les plus médiatisés de l’année a été la campagne de ransomware coordonnée contre plusieurs grands distributeurs britanniques, dont Marks & Spencer, Co-op et Harrods. L’attaque a dominé l’actualité pendant plusieurs semaines et a donné le ton d’une année marquée par l’exploitation des chaînes d’approvisionnement et une exposition intersectorielle accrue.
Les attaquants, liés au groupe Scattered Spider, ont utilisé des techniques avancées de social engineering pour compromettre un fournisseur tiers. Ils ont ensuite pu infiltrer plusieurs réseaux de distribution, déployer des ransomwares sur mesure, exfiltrer des données clients et formuler des demandes d’extorsion afin d’empêcher toute divulgation publique.
L’impact financier a été considérable. Marks & Spencer a annoncé une chute de son bénéfice avant impôts, passant de 391,9 millions de livres sterling à seulement 3,4 millions de livres sur les six mois se terminant le 27 septembre. Les plateformes de vente en ligne, les systèmes de paiement et les services de cartes-cadeaux ont été indisponibles pendant plusieurs semaines. Co-op a subi de graves perturbations de sa chaîne d’approvisionnement, tandis que Harrods a connu des pannes de caisses et des retards logistiques.
Une enquête intersectorielle menée par la National Crime Agency a conduit à plusieurs arrestations et a mis en évidence de sérieuses lacunes dans la gestion des accès tiers au sein du secteur du commerce de détail.
Enseignement clé :
Cette campagne a démontré comment des fournisseurs communs et des intégrations cloud peuvent rendre des secteurs entiers vulnérables. Elle a accéléré l’adoption d’architectures Zero Trust, de processus d’intégration des fournisseurs plus stricts et de stratégies de résilience face aux ransomwares plus robustes.
Attaque contre la chaîne d’approvisionnement de Jaguar Land Rover
Date : août 2025
Type d’attaque : ransomware et perturbation de la chaîne d’approvisionnement
Acteur de la menace : Scattered Lapsus$ Hunters
En août 2025, Jaguar Land Rover a subi ce qui est largement considéré comme la cyberattaque la plus coûteuse de l’histoire du Royaume-Uni. Selon le Cyber Monitoring Centre, le coût est estimé à 1,9 milliard de livres sterling. La production a été interrompue pendant cinq semaines et plus de 5 000 entreprises de la chaîne d’approvisionnement mondiale de JLR ont été touchées. Un rétablissement opérationnel complet n’est pas attendu avant janvier 2026.
L’attaque a été attribuée aux Scattered Lapsus$ Hunters, un collectif criminel aux liens avec des groupes tels que Lapsus$, Scattered Spider et ShinyHunters. En exploitant des vulnérabilités dans les logiciels de fournisseurs tiers, les attaquants ont pu se déplacer latéralement vers les systèmes centraux de JLR. Le ransomware a paralysé les réseaux de production et de logistique, entraînant la fermeture temporaire de sites industriels au Royaume-Uni, en Slovaquie et au Brésil.
Au-delà de l’impact opérationnel, les attaquants ont menacé de divulguer des données sensibles liées aux conceptions et aux fournisseurs en cas de non-paiement de rançons de plusieurs millions de livres.
Enseignement clé :
L’incident JLR a montré que les cyberattaques visant la chaîne d’approvisionnement peuvent avoir des conséquences physiques et économiques immédiates. Il a souligné l’importance de la segmentation des technologies opérationnelles, de la sécurisation des dépendances logicielles et de contrôles rigoureux des fournisseurs tout au long des écosystèmes industriels.
.png?width=2873&height=1600&name=image%20(1).png)
Attaque contre les systèmes aéroportuaires vMUSE de Collins Aerospace
Date : mars 2025
Type d’attaque : ransomware et compromission de logiciels aéronautiques
Acteur de la menace : groupe à motivation financière non identifié
Une attaque par ransomware contre la plateforme vMUSE de Collins Aerospace a provoqué d’importantes perturbations dans l’aviation européenne. vMUSE est utilisée par de nombreux aéroports pour l’enregistrement et l’embarquement des passagers. L’attaque a contraint les compagnies aériennes à revenir à des procédures manuelles pour la gestion des passagers et des bagages.
Plus de 20 aéroports, dont Heathrow, Francfort et Amsterdam Schiphol, ont été affectés, entraînant des milliers de retards et d’annulations de vols. La police britannique a interpellé un homme dans le cadre de l’enquête en vertu du Computer Misuse Act, bien que le groupe responsable n’ait pas été officiellement identifié.
À la suite de l’incident, l’Agence européenne de la sécurité aérienne a publié des recommandations urgentes concernant la gestion des risques liés aux tiers dans les systèmes informatiques aéroportuaires.
Enseignement clé :
L’attaque contre vMUSE a mis en évidence la fragilité des systèmes critiques partagés et l’effet domino des vulnérabilités des fournisseurs. Elle a renforcé la nécessité de redondance, de surveillance des menaces en temps réel et d’un contrôle accru des technologies tierces dans le secteur aérien.
Compromission des systèmes municipaux de St. Paul
Date : juillet 2025
Type d’attaque : ransomware et perturbation des infrastructures civiques
Acteur de la menace : groupe de ransomware présumé d’Europe de l’Est
En juillet 2025, la ville de St. Paul, dans le Minnesota, a déclaré l’état d’urgence à la suite d’une attaque par ransomware ayant paralysé des systèmes municipaux critiques. L’attaque, attribuée au groupe Interlock, a compromis un lecteur réseau partagé et chiffré des systèmes gérant la facturation, la coordination des urgences et les services aux citoyens.
L’hôtel de ville et les bureaux publics sont restés hors ligne pendant plus de deux semaines, nécessitant une assistance fédérale ainsi que le soutien de l’unité cyber de la Garde nationale américaine. L’incident a relancé le débat sur le sous-financement chronique et l’obsolescence des infrastructures informatiques des collectivités locales.
Enseignement clé :
La compromission de St. Paul a montré comment des systèmes hérités et un retard dans l’application des correctifs rendent les infrastructures civiques extrêmement vulnérables. Elle a mis en évidence l’urgence de moderniser les technologies, de déployer des contrôles Zero Trust et de mener des exercices réguliers de résilience cyber.
Fuite de données SalesLoft et compromission par des tiers
Date de détection : juillet 2025
Type d’attaque : compromission de la chaîne d’approvisionnement via des intégrations OAuth liées à Salesforce
Acteur de la menace : ShinyHunters, avec des liens vers Scattered Spider
L’un des incidents de chaîne d’approvisionnement les plus étendus de 2025 avait pour point commun SalesLoft, une plateforme de sales engagement largement utilisée et intégrée à Salesforce. Les attaquants ont exploité les intégrations OAuth pour obtenir un accès à grande échelle aux environnements clients.
Parmi les organisations touchées figurait TransUnion, qui a signalé l’exposition des données personnelles de 4,46 millions de consommateurs américains. D’autres entreprises affectées comprenaient Google, Workday, Farmers Insurance, Chanel et Qantas. Les analystes en sécurité ont attribué la campagne à ShinyHunters, opérant en coordination avec des groupes tels que Scattered Spider, illustrant une tendance croissante vers des modèles d’extorsion ciblant des intégrations à forte valeur ajoutée.
Enseignement clé :
L’incident SalesLoft a démontré comment des intégrations SaaS de confiance peuvent devenir de puissants vecteurs d’attaque. Il a entraîné un regain d’attention sur les autorisations OAuth, la sécurité des identités et la gouvernance des applications tierces.
Autres incidents cyber majeurs en 2025
Outre les cas les plus médiatisés, plusieurs autres attaques ont contribué à façonner le paysage mondial des menaces :
- Attaque contre Allianz Life : plus d’un million de personnes touchées après l’accès non autorisé à un CRM tiers contenant des données clients sensibles.
- Attaque contre Bank Sepah : en Iran, 42 millions d’enregistrements clients ont été volés lors d’une attaque à grande échelle attribuée au collectif Codebreakers, suivie de fuites de données après le refus de payer la rançon.
- Attaque contre UNFI : des perturbations chez United Natural Foods Inc. ont entraîné des retards dans la distribution alimentaire en Amérique du Nord après la mise hors service des systèmes de commande électroniques.
Cap sur 2026
Les cyberattaques de 2025 ont mis en évidence une réalité essentielle. La résilience numérique ne peut plus être abordée de manière isolée. Les risques liés aux tiers, les intégrations cloud, l’exposition des technologies opérationnelles et la sécurité des identités sont désormais au cœur des stratégies de défense. À mesure que les approches évolueront en 2026, les enseignements de cette année continueront d’influencer la manière dont les entreprises, les gouvernements et les régulateurs abordent la cyber sécurité dans un monde de plus en plus interconnecté.
